EAD与WSUS联动实现系统补丁升级技术白皮书

杭州华三通信技术有限公司www.
h3c.
com.
cnEAD与WSUS联动实现系统补丁升级技术白皮书关键词:WSUS、系统补丁、自动升级、CAMS、iNode客户端、联动摘要:系统补丁管理已成为企业网络安全管理的重要任务之一,但在企业网中即使利用微软公司提供的WSUS进行终端用户系统补丁管理,也还是存在网络安全隐患.
EAD与WSUS配合使用可以对用户进行系统补丁安全检查,若接入用户不符合管理员要求,则调用WSUS客户端,对接入用户进行强制补丁升级.
补丁联动解决方案实现了EAD与WSUS功能的互补,将网络安全从被动变为主动,提高网络安全性.
缩略语清单:缩略语英文全名中文解释CAMSComprehensiveAccessManagementServer综合访问管理服务器iNodeiNodeintelligentclientiNode智能客户端EADEndpointAdmissionDefense端点准入防御WSUSWindowsServerUpdateServiceWindows服务器升级服务EAD与WSUS联动实现系统补丁升级技术白皮书杭州华三通信技术有限公司www.
h3c.
com.
cn目录1概述11.
1产生背景11.
2技术优点21.
3应用场合32联动特性实现32.
1EAD与WSUS联动处理流程33EAD与WSUS联动的技术优势.
44典型组网应用44.
1华三通信技术有限公司北京研发中心4EAD与WSUS联动实现系统补丁升级技术白皮书杭州华三通信技术有限公司www.
h3c.
com.
cn1概述由于网络安全威胁的变化,系统漏洞目前已经成为影响网络安全的重要因素,2006年4月微软公布系统漏洞的当天,赛门铁克就证实其中3个漏洞已经被黑客利用来发动攻击,因此对于一个企业而言,制定一个有效的补丁管理措施,为终端用户及时安装升级各种系统安全补丁,已成为保障网络安全的一项基本任务.
然而,多数企业一直难以实现对终端用户系统补丁的有效管理.
经常出现的情况是,新的补丁发布无人理会,任由系统漏洞存在.
即使采用了微软的WSUS、SMS等补丁管理工具,由于无法强制用户进行系统补丁升级,同样无法保证企业网络的安全.
针对上述情况,H3C推出EAD端点准入防御方案,通过与微软的补丁管理系统联动,实现网络接入与终端补丁管理完美结合,使系统补丁管理不再困难.
H3C端点准入防御(EAD)解决方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,可以对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全.
EAD解决方案配合WSUS可以对用户终端的Windows系统补丁更新情况进行检查,若用户终端的补丁安装情况不符合网络安全要求,则将该用户视为不安全的用户,强制用户进行补丁升级,只有符合安全策略要求后才能正常访问网络.
借助EAD解决方案网络管理员可以完善企业网络安全管理措施,提升网络的安全性,有效的管理系统补丁升级等安全事件.
1.
1产生背景WSUS(WindowsServerUpdateService)是微软提供的免费网络化补丁管理的统一解决方案.
WSUS可以从微软公司的官方网站上自动下载最新的Windows操作系统补丁,并且可以自动分发给内网中的各终端用户,帮助管理员进行局域网内的系统补丁升级管理.
WSUS采用C/S工作模式,分为WSUS服务器端和客户端,服务器端软件可以从微软网站上获取,WSUS客户端已被包含在各Windows操作系统上,无需单独安装.
通过WSUS,管理员可以将用户分类,按照用户类型设定相应的补丁升级策略,并EAD与WSUS联动实现系统补丁升级技术白皮书杭州华三通信技术有限公司www.
h3c.
com.
cn实现补丁的自动分发.
但由于WSUS系统不能强制用户进行补丁升级,也不能限制"危险"用户接入网络,因此仅部署WSUS系统无法保证系统安全.
1.
2技术优点EAD与WSUS联动解决方案需要两个系统协同工作:WSUS软件补丁更新服务器负责对终端用户的计算机进行补丁状态检查、判断是否合格以及不合格时自动更新所缺少的补丁;EAD安全策略服务器负责决定何时发起补丁状态检查操作,并负责控制补丁状态检查不合格的端点用户只能访问隔离区内的资源,待端点用户的计算机的补丁状态检查合格后才解除对该用户计算机的隔离.
两者通过EAD安全客户端与微软公司支持联动功能的补丁升级客户端之间的API接口实现,其部署图如下:图1系统结构图在接入用户的终端同时安装EAD认证客户端和补丁客户端.
EAD认证客户端负责完成与EAD策略服务器的交互;补丁客户端负责与WSUS软件补丁更新服务器进行交互,两者之间通过微软提供的API接口完成补丁检查与安全准入的融合.
说明:隔离区:是指最终用户在通过安全认证之前允许访问的一组主机的集合.
一般情况下,隔离区可能包含防病毒软件安装升级服务器(防病毒管理中心)、软件补丁更新服务器和EAD管理代理服务器.
隔离区具体包含的主机一般在接入设备上配置.
EAD与WSUS联动实现系统补丁升级技术白皮书杭州华三通信技术有限公司www.
h3c.
com.
cn1.
3应用场合在金融、政府、电力以及大型企业中,使用微软WSUS产品进行系统补丁管理的企业网.
EAD解决方案可以在对原系统补丁管理机制几乎不做改动的情况下,实现方案的部署,将系统补丁的管理纳入到整个网络安全管理框架中.
2联动特性实现2.
1EAD与WSUS联动处理流程图2组网示意图EAD与WSUS联动的原理性流程如下:(1)用户上网时,EAD客户端首先向EAD策略中心发起安全认证请求;(2)EAD策略中心根据用户角色下发要求进行补丁检查指令;(3)EAD客户端收到补丁检查指令,调用微软补丁管理客户端接口检查补丁是否及时更新,并将检查结果发送给EAD策略中心.
如果合格,进入(6),如果不合格,进入(4);(4)如果不合格,用户只能访问补丁服务器等安全资源,因此不会受到外部病毒和攻EAD与WSUS联动实现系统补丁升级技术白皮书杭州华三通信技术有限公司www.
h3c.
com.
cn击的威胁.
同时客户端自动过渡到补丁自动升级阶段;(5)由用户根据补丁更新过程中出现的情况按提示进行相关的操作(如:重启机器等),确认完成补丁升级后,由用户干预通过EAD客户端界面再次发起安全认证,重新检测补丁安装情况,如果合格,进入(6);否则返回(4);(6)EAD策略中心通知接入设备,将该用户的访问权限从隔离区放开,用户可以正常访问其他授权的网络资源.
3EAD与WSUS联动的技术优势EAD解决方案与WSUS配合使用有许多优势:z联动的松散耦合性:充分利用微软成熟的补丁管理工具,由WSUS管理各种Windows环境下用户需安装的系统补丁,EAD只需获得检查结果判断用户的安全性,如果不安全将自动触发WSUS联动客户端,进行系统补丁的自动升级;z补丁更新的安全性:用户机器的补丁状态不符合安全要求时,其访问范围控制在隔离区,即补丁更新是在隔离区进行的;z补丁更新的自动性:补丁更新过程是自动完成的,无需用户手工下载和安装补丁程序;z补丁更新的即时性:用户机器的补丁状态检查不合格后马上转入补丁自动更新过程;z补丁更新的强制性:不完成补丁更新的用户机器只能访问隔离区内的网络资源,要访问更多资源,只有完成补丁更新.
4典型组网应用4.
1华三通信技术有限公司北京研发中心华三通信技术有限公司在北京研发中心使用EAD解决方案部署办公网络,整个办公环境和开发环境均使用EAD与WSUS配合联动进行系统补丁管理.
网络管理员会根据需要,设定接入网络的终端系统需安装的系统补丁.
员工在进行网络接入认证时会首先进行EAD安全认证,在安全认证中,EAD客户端调用WSUS客户端对员工使用的机器进行系统补丁检查,一旦发现员工未安装管理员要求的系统补丁,EAD安全策略服务器就会通知接入交换机,限制员工只能访问补丁服务器等安全资源.
同时,WSUS系统会自动进行操作系统补丁的升级,完成补丁升级工作.
EAD与WSUS联动实现系统补丁升级技术白皮书杭州华三通信技术有限公司www.
h3c.
com.
cn图3EAD与WSUS联动用户认证界面图EAD与WSUS联动管理系统补丁,对不按管理员要求进行补丁升级的用户进行自动强制升级.
只有符合管理员安全要求的终端用户才可接入网络,保证了网络接入的安全性,提高了整网的安全防御能力.
EAD与WSUS联动实现系统补丁升级技术白皮书杭州华三通信技术有限公司www.
h3c.
com.
cnCopyright2003-2007杭州华三通信技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.